HOMEIPAについて新着情報プレス発表 届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新たな運用を開始

本文を印刷する

IPAについて

プレス発表 届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新たな運用を開始

~ 製品利用者の安全確保を第一義とし、“当該製品を使用しないという選択”を可能にする、現状への
打開策 ~

2015年9月3日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、発見・届出された脆弱性のうち、届出から1年以上開発者と連絡がとれないソフトウェア製品の脆弱性が1割弱存在することから、脆弱性情報を公開する、新たな運用を開始しました。

 IPAはJPCERT(ジェイピーサート)コーディネーションセンターと共にソフトウェア製品(以後、製品)の脆弱性による被害を低減させるため、「脆弱性関連情報届出制度」を2004年7月から運用しています(*1)。この制度運用において、下記2点が関係者の間で問題視されていました。

 ①開発者に連絡がとれないことにより(*2)、指摘された脆弱性の修正パッチ等が提供出来ないこと
 ②その結果、製品利用者が長期にわたり脆弱性の存在を認識できないまま製品を使い続けてしまうこと

 そこで、製品利用者の安全確保を第一義とし、“当該製品を使用しないという選択”を可能とするため、「対策情報が提供されていない製品の脆弱性情報」を公表する新たな運用を開始し、本日2件をJVN(*3)にて公表しました(*4)。また、これらの情報は今後、IPAのウェブサイトの「重要なセキュリティ情報」欄においても「連絡不能公表」として掲出します。

 前述の制度において、脆弱性の発見・届出から修正パッチ等の対策情報が公表されるまでの主な流れは図1の通りで、制度開始から2015年6月までに2,123件の「脆弱性関連情報」が届出されています。
 また、そのうち“開発者と連絡がとれず未解決”な「脆弱性関連情報」は169件ありました。


図1 脆弱性関連情報 取扱いの流れ

 本来、対策が用意されない状態で脆弱性が公になることは攻撃のきっかけとなり得ることから、修正等の対策がなされるまで、脆弱性情報は非公開とする運用を行ってきました。その反面、前述の問題点も指摘されていました。
 そこで、この問題の解消に向け、まず2011年9月から「連絡不能開発者一覧」を公表し、開発者との連絡の糸口獲得に努めてきました。また、一覧では「開発者情報」の公表から3か月後に「製品情報」を公表し、情報提供を広く求めています。今回の新たな運用は、それでも開発者と連絡がとれない場合の対処です。

 今後は、製品利用者も自主的に脆弱性情報を収集し、安全な利用環境の保持に努めることが一層求められます。

脚注

(*1) 経済産業省の告示「ソフトウェア等脆弱性関連情報取扱基準」に基づき策定された「情報セキュリティ早期警戒パートナーシップガイドライン」に則り運営している制度。

(*2) この場合「連絡がとれない」とは「連絡先が不明」または「連絡をとっても応答がない」状況を指す。

(*3) Japan Vulnerability Notesの略で、製品の脆弱性関連情報とその対策情報を提供するポータルサイトのこと。

(*4) IPAが組織する「公表判定委員会」の審議を経て、公表することが適当であると判定された脆弱性情報のみを公表します。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/木曽田

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。